Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Шлюз виртуальной сети подключает виртуальную сеть Azure к локальной сети через Azure ExpressRoute. Шлюз служит двумя ключевыми целями: обмен IP-маршрутами между сетями и маршрутизацией сетевого трафика между ними.
В этой статье описываются типы шлюзов, номера SKU шлюза, оценка производительности по номеру SKU и ключевые функции. Он также охватывает ExpressRoute FastPath, который позволяет сетевому трафику из локальной сети обойти шлюз виртуальной сети для повышения производительности.
SKU шлюзов
Во время создания шлюза виртуальной сети нужно указать SKU шлюза, который вы хотите использовать. При выборе более высокого типа SKU для шлюза, шлюзу выделяется больше процессоров и пропускной способности сети. В результате шлюз сможет поддерживать более высокую пропускную способность для виртуальной сети.
Для шлюзов виртуальной сети ExpressRoute можно использовать следующие значения SKU.
- ErGwScale: Дополнительные сведения см. в статье "Масштабируемый шлюз ExpressRoute"
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Шлюз можно обновить до SKU с более высокой пропускной способностью в том же семействе SKU (без поддержки зоны доступности или с поддержкой зоны доступности). Рассмотрим пример.
- Переход от одного SKU вне зоны доступности к другому SKU вне зоны доступности
- Обновление номера SKU с поддержкой одной зоны доступности до номера SKU с поддержкой другой зоны доступности
Для всех других сценариев, включая понижение или переключение между типами зон доступности, необходимо удалить и повторно создать шлюз. Этот процесс вызывает простой.
Note
Если шлюз подключен к приватным каналом, клиенты должны ожидать до 2 часов простоя во время обновления.
Подсеть шлюза
Прежде чем создавать шлюз ExpressRoute, необходимо создать подсеть для него. Подсеть шлюза содержит IP-адреса, используемые виртуальными машинами и службами шлюза виртуальной сети.
При создании шлюза виртуальной сети Azure развертывает виртуальные машины шлюза в подсети шлюза и настраивает их с необходимыми параметрами ExpressRoute. Никогда не разворачивайте ничего другого в подсети шлюза. Подсеть шлюза должна называться GatewaySubnet для Azure, чтобы распознать ее и правильно развернуть компоненты шлюза.
Note
Определяемые пользователем маршруты с назначением 0.0.0.0/0 и группами безопасности сети (NSG) в подсети шлюза не поддерживаются. Определяемые пользователем маршруты, содержащие адресное пространство GatewaySubnet, при этом следующий узел не задан или для следующего узла установлено значение NVA (которое отклоняет трафик), не поддерживаются. Шлюзы с такой конфигурацией блокируются и не могут быть созданы. Для правильной работы шлюзов нужен доступ к контроллерам управления. Распространение маршрутов протокола BGP для пограничного шлюза должно быть включено в подсети шлюза, чтобы обеспечить доступность шлюза. Если распространение маршрутов BGP отключено, шлюз не будет работать.
Диагностика, путь к данным и путь управления могут быть затронуты, если определенный пользователем маршрут совпадает с диапазоном подсети шлюза или диапазоном общедоступных IP-адресов шлюза.
Не развертывайте частный резолвер Azure DNS в виртуальной сети, которая имеет шлюз виртуальной сети ExpressRoute с правилами подстановочных знаков, направляющими все разрешения имен на конкретный DNS-сервер. Эта конфигурация может вызвать проблемы с подключением к управлению.
Размер подсети шлюза
При создании подсети шлюза укажите, сколько IP-адресов он содержит. Виртуальные машины шлюза и службы используют эти IP-адреса. Некоторым конфигурациям требуется больше IP-адресов, чем прочим.
При планировании размера подсети шлюза ознакомьтесь с документацией по конкретной конфигурации. Например, конфигурации сосуществования vpn-шлюза ExpressRoute и VPN требуют более крупных подсетей шлюза, чем большинство других конфигураций. Рекомендуется создать подсеть шлюза, которая может вместить возможные будущие конфигурации.
Recommendations:
- Создайте подсеть шлюза /27 или больше для большинства конфигураций.
- Если вы планируете подключить 16 каналов ExpressRoute к шлюзу, необходимо создать подсеть шлюза /26 или больше.
- Для подсетей шлюза с двойным стеком рекомендуется диапазон IPv6 в диапазоне /64 или больше.
В следующем примере PowerShell Azure Resource Manager показана подсеть шлюза с именем GatewaySubnet. Нотация CIDR указывает /27, которая предоставляет достаточно IP-адресов для большинства конфигураций.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Important
Группы сетевой безопасности в подсети шлюза не поддерживаются. Связывание группы безопасности сети с этой подсетью может привести к остановке работы шлюза виртуальной сети (VPN и шлюзов ExpressRoute). Дополнительные сведения о группах безопасности сети см. в статье Фильтрация сетевого трафика с помощью групп безопасности сети.
Ограничения и производительность шлюза
Поддержка функций по SKU шлюза
В следующей таблице показаны функции, поддерживаемые каждым номером SKU шлюза, и максимальное количество подключений канала ExpressRoute.
| Gateway - код товара | Сосуществование VPN и ExpressRoute | FastPath | Максимальное количество подключений к цепи |
|---|---|---|---|
| Standard/ERGw1Az | Yes | No | 4 |
| Высокая производительность, ERGw2Az | Yes | No | 8 |
| Ультравысокая производительность, ErGw3Az | Yes | Yes | 16 |
| ErGwScale | Yes | Да (минимум 10 единиц масштабирования) | 4 (минимум 1 единица масштабирования) 8 (минимум 2 единицы масштабирования) 16 (минимум 10 единиц масштабирования) |
Note
Максимальное количество каналов ExpressRoute из одной точки пиринга, которые могут быть подключены к одной виртуальной сети, составляет 4 для всех типов шлюзов.
Оценка производительности по номеру SKU шлюза
В следующих таблицах представлен обзор различных типов шлюзов, их соответствующих ограничений и ожидаемых метрик производительности.
Максимальные поддерживаемые ограничения
Эта таблица относится как к моделям Azure Resource Manager, так и к классическим моделям развертывания.
| Gateway - код товара | Мегабит в секунду | Пакеты в секунду | Поддерживаемо число виртуальных машин в виртуальной сети 1 | Ограничение количества потоков | Количество маршрутов, выученных шлюзом |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 | 4,000 |
| Высокая производительность, ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 | 9,500 |
| Ультравысокая производительность, ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 | 9,500 |
| ErGwScale (на единицу масштабирования 1–10) | 1 000 на единицу масштабирования | 100 000 за единицу шкалы | 2000 за единицу масштабирования | 100 000 за единицу шкалы | 9500 общих данных на шлюз |
| ErGwScale (на единицу масштабирования 11–40) | 1 000 на единицу масштабирования | 200 000 единиц измерения масштаба | 1 000 на единицу масштабирования | 100 000 за единицу шкалы | 9500 общих данных на шлюз |
1 Значения в таблице оцениваются и зависят от использования ЦП шлюза. Если загрузка ЦП высока и количество поддерживаемых виртуальных машин превышается, шлюз начнет удалять пакеты.
Note
ExpressRoute может упростить до 11 000 маршрутов, охватывающих адресные пространства виртуальной сети, локальные сети и любые соответствующие подключения к пирингу виртуальной сети. Чтобы обеспечить стабильность подключения ExpressRoute, воздерживайтесь от рекламы более 11000 маршрутов в ExpressRoute. Максимальное количество маршрутов, объявленных шлюзом, — 1000 маршрутов.
Important
- Производительность приложения зависит от нескольких факторов, таких как сквозная задержка и количество потоков трафика, которые открывает приложение. Числа в таблице представляют собой верхний предел, которого приложение может теоретически достичь в идеальных условиях. Кроме того, мы выполняем обычное обслуживание узла и ОС на шлюзе виртуальной сети ExpressRoute для обеспечения надежности службы. В течение периода обслуживания снижается пропускная способность уровня управления и пути передачи данных шлюза.
- В течение периода обслуживания могут возникать периодические проблемы с подключением к ресурсам частной конечной точки.
- ExpressRoute поддерживает максимальный размер пакета TCP и UDP размером 1400 байт. Фрагментированные пакеты не поддерживаются шлюзами ExpressRoute. Настройте приложение, чтобы предотвратить фрагментацию IP-адресов. Если требуется поддержка фрагментации IP-адресов, включите функцию ExpressRoute FastPath для обхода шлюза ExpressRoute.
- Сервер маршрутизации Azure может поддерживать до 4 000 виртуальных машин. Этот предел включает виртуальные машины в виртуальных сетях с установленным соединением. Дополнительные сведения см. в разделе об ограничениях сервера маршрутизации Azure.
- Значения в таблице выше представляют пределы для каждого SKU шлюза.
Автоматически назначенный общедоступный IP-адрес
Функция общедоступного IP-адреса, назначаемая автоматически, упрощает развертывание шлюза ExpressRoute, позволяя Корпорации Майкрософт управлять необходимым общедоступным IP-адресом от вашего имени. Для PowerShell и интерфейса Command-Line (CLI) больше не требуется создавать или поддерживать отдельный общедоступный IP-ресурс для шлюза.
Если общедоступный IP-адрес включен автоматически, страница обзора шлюза ExpressRoute больше не отображает поле общедоступного IP-адреса. Это означает, что общедоступный IP-адрес шлюза автоматически подготавливается и управляется корпорацией Майкрософт.
Ключевые преимущества:
- Улучшенная безопасность: Общедоступный IP-адрес управляется корпорацией Майкрософт и не предоставляется вам, что снижает риски, связанные с открытыми портами управления.
- Снижение сложности: Больше не требуется обеспечивать или управлять общедоступным IP-ресурсом.
- Упрощенное развертывание: Azure PowerShell и CLI больше не запрашивают общедоступный IP-адрес во время создания шлюза.
Принцип работы.
При создании шлюза ExpressRoute корпорация Майкрософт автоматически подготавливает общедоступный IP-адрес в безопасной серверной подписке. Этот IP-адрес инкапсулируется в ресурсе шлюза, что позволяет Корпорации Майкрософт применять такие политики, как ограничения скорости данных и повысить удобство аудита. Ранее можно было создать ресурс общедоступного IP-адреса в качестве зонального ресурса, который обеспечил, чтобы все экземпляры шлюза в этой зоне использовали один и тот же общедоступный IP-адрес. Новое поведение заключается в том, что шлюз всегда является избыточным по зонам.
Availability:
Общедоступный IP-адрес, назначенный автоматически, недоступен для развертываний виртуальной глобальной сети (vWAN) или расширенной зоны.
Подключение из виртуальной сети к виртуальной сети и из виртуальной сети к виртуальной глобальной сети
По умолчанию подключение от виртуальной сети к виртуальной сети и от виртуальной сети к виртуальной глобальной сети отключено через схему ExpressRoute для всех SKU шлюза. Чтобы включить это подключение, необходимо настроить шлюз виртуальной сети ExpressRoute, чтобы разрешить этот трафик. Дополнительные сведения см. в руководстве по подключению к виртуальной сети через ExpressRoute. Сведения о включении этого трафика см. в статье "Включение подключения между виртуальными сетями и виртуальной сетью к виртуальной глобальной сети" через ExpressRoute.
FastPath
ExpressRoute FastPath повышает производительность пути к данным между локальной сетью и виртуальной сетью. При включении FastPath отправляет сетевой трафик непосредственно на виртуальные машины в виртуальной сети, обходя шлюз.
Дополнительные сведения о FastPath, включая ограничения и требования, см. в статье о FastPath.
Подключение к частной конечной точке
Шлюз виртуальной сети ExpressRoute упрощает подключение к частным конечным точкам, развернутых в одной виртуальной сети и между одноранговых виртуальных сетей.
Important
- Емкость пропускной способности и уровня управления для подключения к ресурсам частной конечной точки может сократиться наполовину по сравнению с подключением к ресурсам, не являющихся частными конечными точками.
- В течение периода обслуживания могут возникать периодические проблемы с подключением к ресурсам частной конечной точки.
- Необходимо убедиться, что локальная конфигурация, включая параметры маршрутизатора и брандмауэра, правильно настроена, чтобы гарантировать, что пакеты для транзитов IP 5-tuple используют один следующий маршрутизатор (маршрутизатор Microsoft Enterprise Edge), если только не происходит событие обслуживания. Если локальная конфигурация брандмауэра или маршрутизатора приводит к тому, что один и тот же IP-5-кортеж часто меняет следующий узел маршрута, возникают проблемы с подключением.
- Убедитесь, что политики сети (как минимум, для поддержки UDR) включены в подсетях, где развертываются частные конечные точки.
Подключение к частной конечной точке и запланированные события обслуживания
Подключение к частной конечной точке сохраняет состояние. При установке подключения к частной конечной точке через частный пиринг ExpressRoute инфраструктура шлюза направляет входящие и исходящие подключения через один из своих бэкэнд-экземпляров. Во время событий обслуживания экземпляры бэкенда перезагружаются по очереди, что может вызвать периодические проблемы с подключением.
Чтобы избежать или свести к минимуму проблемы с подключением к частным конечным точкам во время обслуживания, установите значение времени ожидания TCP в диапазоне от 15 до 30 секунд в локальных приложениях. Проверьте и настройте оптимальное значение на основе требований приложения.
REST API (интерфейсы программирования приложений REST) и команды PowerShell (cmdlets)
Технические ресурсы и определенные требования к синтаксису при использовании REST API и командлетов PowerShell для конфигураций шлюза виртуальной сети см. в следующей статье:
| Classic | Менеджер ресурсов |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
Подключение виртуальной сети к виртуальной сети
По умолчанию подключение между виртуальными сетями включается при связывании нескольких виртуальных сетей с одинаковым каналом ExpressRoute. Мы не рекомендуем использовать канал ExpressRoute для обмена данными между виртуальными сетями. Вместо этого рекомендуется использовать пиринг между виртуальными сетями. Дополнительные сведения о том, почему подключение между виртуальными сетями через ExpressRoute не рекомендуется, см. в разделе О подключении между виртуальными сетями через ExpressRoute.
Ограничения пиринга между виртуальными сетями
Виртуальная сеть с шлюзом ExpressRoute может иметь пиринг между виртуальными сетями до 500 других виртуальных сетей. Виртуальные сети без шлюза ExpressRoute могут иметь более высокие ограничения пиринга.